Este trabalho demonstrou a viabilidade de uma nova abordagem para autenticação contínua de usuários utilizando dados de contadores de desempenho de sistemas ope-racionais. Nos resultados apresentados, nenhum genuíno foi bloqueado indevidamente e todos os impostores foram detectados com no mínimo de três ciclos de coleta realiza-das quando aplicado teste do cenário interno. Entretanto, pensar em possíveis avanços em estudos com autenticação contínua usando contadores de desempenho do sistema operacional requer algumas considerações:
1. Extração Automática de Características
Dado o grande número de contadores de desempenho existentes nos sistemas operacionais modernos, identificar os mais relevantes para classificação dos usuários genuínos e impostores é uma tarefa desafiadora. Embora este traba-lho delegue a tarefa de seleção de característica a uma rede CNN, que compro-vamente foi eficiente, conforme resultados obtidos, a identificação das carac-teristicas mais relevantes possibilitaria minimizar os custos de processamento, memória e tempo necessários para gerar o modelo de autenticação. Entretanto, não estava no escopo deste trabalho a seleção dos atributos mais significativos para classificação.
2. Avaliação do Uso de um Modelo de Confiança
Refletindo sobre o processo de avaliação empregado, o nível de confiança, e comparando com outros estudos que avaliam a taxa de falso positivo e de falso negativo, observa-se que utilizar a métrica de nível de confiança agrega ao estudo uma maior robustez e estabilidade. Uma vez que um mesmo usuário pode, even-tualmente, fugir de seu padrão de comportamento, caso a avaliação ocorresse somente com os métodos tradicionais, certamente estes desvios implicariam em
situação de falso negativo.
Mesmo que as taxas de falso positivo e taxas de falso negativo não sejam es-tatisticamente relevantes, para autenticação contínua, pode propiciar bloqueios desnecessários para um usuário genuíno e permitir a atuação de atividades de um usuário impostor.
3. Contadores de Desempenho dos Sistemas Operacionais
Os dados de movimento de mouse e dinâmica de uso de teclado são coletados após a ação direta e voluntária de um usuário que está interagindo com o sistema. Já os contadores de desempenho do sistema operacional, são coletados periodi-camente independente da ação direta e voluntária do usuário, e foi objetivo deste estudo avaliar se através dos contadores de desempenho, pode-se identificar pa-drões comportamentais dos usuários a partir dos efeitos que os atos ou ações voluntárias geram para os inúmeros componentes de um sistema operacional. Com o experimento 2 levantou-se um questionamento se o que estava sendo reconhecido era o ecossistema computacional ou o seu usuário, o que levou ao experimento 3. A padronização do que chamamos de ecossistema no aspecto de hardware, sistema operacional e conjunto de softwares instalados, leva a crer que cada usuário utiliza o ecossistema de forma a permitir criar uma assinatura única, seja através de ações e atos voluntários interativos ou pela forma o utiliza e escolhe os programas, números de janelas abertas, uso de programas que exijam mais ou menos atividades de rede e disco, entre outros inúmeros aspectos. 4. Modelo de Autenticação Contínua
O modelo de rede neural profunda DEEPCONVLSTM, proposta por Ordóñez [2016], já havia demonstrado bons resultados para tratamento de sinais. Os re-sultados obtidos neste estudo apontam que a escolha do classificador foi asser-tiva do ponto de vista da capacidade da rede de efetuar a autenticação contínua reconhecendo a biometria comportamental dos usuários.
Considerações são necessárias quanto a escalabilidade do modelo de aprendi-zado usando redes neurais profundas. Uma alternativa apresentada é a redução do universo de características apresentadas à rede. Outra alternativa é melhorar o hardware utilizado nos experimentos, em especial quanto a qualidade da GPU empregada.
6.1 Contribuições
As principais contribuições deste trabalho são:
1. Desenvolvimento de duas bases de dados (datasets) extraídas a partir de con-tadores de desempenho do sistema operacional. O primeiro dataset contém x amostras referente a 24 horas de coleta de dados de 26 usuários. Os computado-res utilizados por esses usuários possuíam características de hardware e software distintos. O segundo dataset contém x amostras referente a horas de coletas para cada usuário (37 usuários no total). Neste dataset, os 37 computadores possuíam características de hardware e software semelhantes.
2. Implementação de uma arquitetura de rede profunda baseada em camadas de convolução e de recorrência. Os dados dos contadores de desempenho são co-letados em períodos sucessivos de tempo e, portanto, são caracterizados como uma série temporal.
3. Adaptação do modelo de confiança proposto por Mondal e Bours [2015], que havia sido desenvolvido para estudo autenticação contínua baseada na dinâmica de mouse, para o estudo de contadores de desempenho do sistema operacional. 4. As pesquisas deste estudo geraram publicação do artigo "Autenticação contínua
de usuários utilizando contadores de desempenho do sistema operacional"que foi apresentado no XIX Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2019).
6.2 Direções futuras
Como trabalhos futuros ou variações deste trabalho podem ser elencados:
1. Estudos para reduzir a quantidade de atributos utilizados, assim é necessário identificar quais dentre os contadores de desempenho coletados são mais efetivos para propiciar uma melhor classificação.
2. Desenvolver um experimento onde os dados sejam coletados em um mesmo computador e o processo de teste de autenticação contínua possa ser efetuado em tempo real.
3. Alguns trabalhos de detecção de malware a partir da análise comportamental de contadores de desempenho já foram desenvolvidos, entretanto cabe estudar o emprego da rede DEEPCONVLSTM para esta finalidade;